Spring过滤参数中的xss

最新推荐文章于 2025-05-31 11:30:00 发布
原创 最新推荐文章于 2025-05-31 11:30:00 发布 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web.xml #spring #xss

本文介绍了一种XSS过滤器的实现方式,该过滤器能够处理标准HTTP请求及multipart请求,通过使用Jsoup库来净化输入,防止XSS攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

web.xml中配置

<filter>

<filter-name>XssFilter</filter-name>
<filter-class>com.meadin.funding.filter.XssFilter</filter-class>
<async-supported>true</async-supported>
<!-- 字符编码过滤 -->
<init-param>
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>XssFilter</filter-name>
<url-pattern>/*</url-pattern>

</filter-mapping>


package com.meadin.funding.filter;


import javax.servlet.http.HttpServletRequest;


import org.jsoup.Jsoup;
import org.jsoup.safety.Whitelist;
import org.springframework.web.multipart.MultipartException;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.multipart.commons.CommonsMultipartResolver;
import org.springframework.web.multipart.support.DefaultMultipartHttpServletRequest;
import org.springframework.web.util.HtmlUtils;


/**
 * 具有xss功能的multipart解析器 转义上传文件的XSS
 * 
 * @author zhou
 * 
 */
public class XssCommonsMultipartResolver extends CommonsMultipartResolver {


public XssCommonsMultipartResolver() {
}


@Override
public MultipartHttpServletRequest resolveMultipart(
HttpServletRequest request) throws MultipartException {
MultipartParsingResult parsingResult = parseRequest(request);
return new DefaultMultipartHttpServletRequest(request,
parsingResult.getMultipartFiles(),
parsingResult.getMultipartParameters(),
parsingResult.getMultipartParameterContentTypes()) {


@Override
public String getParameter(String name) {
String value = super.getParameter(name);
return value == null ? null : cleanXSS(value);
}


@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if (values == null)
return null;


String[] result = new String[values.length];
for (int i = 0; i < result.length; i++) {
result[i] = cleanXSS(values[i]);
}


return result;
}


@Override
public String getHeader(String name) {
String value = super.getHeader(name);
return value == null ? null : cleanXSS(value);
}


};
}


private String cleanXSS(String value) {
return Jsoup.clean(value.toString(), Whitelist.relaxed());
}


}


package com.meadin.funding.filter;


import java.io.IOException;


import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


import org.springframework.web.filter.OncePerRequestFilter;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.multipart.MultipartResolver;
import org.springframework.web.util.WebUtils;


import com.meadin.funding.util.StringUtils;


/**
 * Xss过滤器,可处理multipart请求
 * 
 * @author zhou
 * 
 */
public class XssFilter extends OncePerRequestFilter {
private MultipartResolver multipartResolver;
private String encoding;


public XssFilter() {
}


@Override
protected void initFilterBean() throws ServletException {
XssCommonsMultipartResolver resolver = new XssCommonsMultipartResolver();
resolver.setDefaultEncoding("UTF-8");
resolver.setMaxUploadSize(4096000);
resolver.setServletContext(getServletContext());
multipartResolver = resolver;
}


public void setEncoding(String encoding) {
this.encoding = encoding;
}


@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
if (!StringUtils.isBlank(encoding)) {
request.setCharacterEncoding(encoding);
response.setCharacterEncoding(encoding);
}


boolean multipartRequestParsed = false;
HttpServletRequest req = new XssHttpServletRequestWrapper(request);
if (multipartResolver.isMultipart(req)) {
req = multipartResolver.resolveMultipart(req);
multipartRequestParsed = true;
}


try {
filterChain.doFilter(req, response);
} finally {
if (multipartRequestParsed) {
multipartResolver.cleanupMultipart(WebUtils.getNativeRequest(
request, MultipartHttpServletRequest.class));
}
}
}


}



package com.meadin.funding.filter;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


import org.jsoup.Jsoup;
import org.jsoup.safety.Whitelist;
import org.springframework.web.util.HtmlUtils;


/**
 * xss过滤包装器 转义参数中的XSS
 * 
 * @author zhou
 * 
 */
class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {


public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}


@Override
public String getHeader(String name) {
String value = super.getHeader(name);
return value == null ? null : cleanXSS(value);
}


@Override
public String getParameter(String name) {
String value = super.getParameter(name);
return value == null ? null : cleanXSS(value);
}


@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if (values == null)
return null;


String[] result = new String[values.length];
for (int i = 0; i < result.length; i++) {
result[i] = cleanXSS(values[i]);
}


return result;
}


private String cleanXSS(String value) {
return Jsoup.clean(value.toString(), Whitelist.relaxed());
}


}


参考https://github.com/dongfangshangren/Zblog


更新:文件上传有BUG--2016-07-27 18:29:43

深入了解后端 Spring Security 的 XSS 防护策略
架构师的AI之路,分享AI应用开发架构的学习与实践。
04-14 929
本文旨在系统讲解 Spring Security 框架下的 XSS 攻击防护技术体系,覆盖攻击原理分析、防护策略设计、核心代码实现和实际项目部署方案。XSS 攻击分类及危害评估Spring Security 的安全过滤器链内容安全策略(CSP)深度配置输入输出验证的工程实践全文采用"理论-机制-实践"三层递进结构,首先建立 XSS 攻击的数学模型,然后解析 Spring Security 防护原理,最终通过企业级项目案例演示完整防护方案。XSS(跨站脚本攻击)
spring boot实战之XSS过滤
热门推荐
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
Spring 中处理XSS
u012017645的专栏
06-06 1646
有2种方式 一:在BaseController中定义方法 [java] view plain copy /**   * 初始化数据绑定   * 1. 将所有传递进来的String进行HTML编码,防止XSS攻击   *    */   @InitBinder   protected void initBinder(WebDataBi
Java Spring过滤器(Filter)详解与实战
C_V_Better的博客
05-31 575
本文介绍了Spring框架中过滤器的使用方法和应用场景。首先阐述了过滤器的三大作用:请求处理前的预处理(如权限校验)、请求处理后的后置操作(如日志记录)以及静态资源处理。然后通过代码示例详细说明了创建过滤器的步骤:实现Filter接口并定义init、doFilter和destroy方法,通过FilterRegistrationBean进行注册配置。文章还列举了过滤器的典型应用场景,包括用户权限验证、请求日志记录和静态资源缓存控制。最后总结了Spring过滤器的核心功能,强调其在处理请求流程中重要作用。
Spring应用程序中防止跨站点脚本 (XSS)
allway2的博客
07-24 1306
在反射型或非持久性XSS中,不受信任的用户数据被提交给Web应用程序,该应用程序立即在响应中返回,从而将不信任的内容添加到页面中。这可能允许黑客向您发送一个链接,当您点击该链接时,会导致您的浏览器从您使用的站点检索您的私人数据,然后让您的浏览器将其转发到黑客的服务器。在SpringWeb应用程序中,用户的输入是HTTP请求。为了防止攻击,我们应该检查HTTP请求的内容并删除任何可能被服务器或浏览器执行的内容。在XSS中,攻击者试图在Web应用程序中执行恶意代码。...
Jsoup清除HTML标签(非白名单)
qq_22594791的博客
10-25 509
Jsoup默认提供五种白名单: 1): none() 该API会清除所有HTML标签,仅保留文本节点。 2): simpleText() ...
发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!从零基础到精通,收藏这篇就够了!
bdfcfff77fa的博客
03-03 1006
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。
SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入.zip
02-09
Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入.zip
JSP spring boot / cloud 使用filter防止XSS
10-19
在防止XSS攻击的场景中,开发者需要关注请求头、请求体和请求参数等位置的数据,确保这些数据在到达后端业务逻辑之前,已经被安全地处理过。 通过创建一个自定义的Filter类XssFilter,在其doFilter方法中,我们可以...
spring利用filter进行xss过滤(包含post请求)以及请求入参日志输出
六年级的叔叔
04-20 5290
背景:过滤xss攻击,同时将过滤后的日志输出到指定文件。(指定文件输出请看上篇博文) 前景:利用filter进行xss攻击过滤,需要应对不同请求做不同的过滤处理,若是post请求的json格式数据,需要重写getinputstream方法(因为流读取一次后,下层controller无法再次进行读取。原理可自行百度) 因此需要重写两个wrapper(继承HttpServletRequestWra...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
Springboot配置XSS过滤XssFilter
qq_44691484的博客
04-02 4650
Springboot配置XSS过滤XssFilter
SpringBoot 防护XSS攻击
Wcybaonier
04-12 4177
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击。XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目防止XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
Spring Mvc防止Xss攻击
pursue.dreams的博客
11-19 783
Spring Mvc防止Xss攻击 1,在web.xml中添加Filter 2,编写XssFilter类 3,编写XsslHttpServletRequestWrapper类 HttpServletRequest xssRequest = null; public XsslHttpServletRequestWrapper(HttpServletRequest reques...
Springboot 阻止XSS攻击
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
Spring项目——抵御跨站脚本(XSS)攻击
Huisoul的博客
11-11 2645
一、概念介绍 1、XSS攻击的危害 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实 际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种 内容。 例如用户在发帖或者注册的时候,在文本框中输入 < script &gt
Spring Boot防 XSS攻击 复制即用
我是福强的博客
05-08 388
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 1、引入依赖 <dependency> <groupId>org.apache.com
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
spring boot 过滤存款xss
最新发布
07-22
<think>首先,用户的问题是:“spring boot 过滤存款xss”,这似乎是一个拼写错误。我认为应该是“spring boot 过滤存储型xss”,意思是“Spring Boot 过滤存储型 XSS”。XSS 指的是跨站脚本攻击(Cross-Site Scripting),存储型 XSS 是其中一种类型。 我的任务是: - 使用中文回答问题。 - 在回答完问题后,必须根据用户的问题及我的回答提出 3-5 个相关问题。 - 相关问题必须以“§§相关问题§§”开头,并且输出在回答的末尾。 - 第一行必须完整输出“§§相关问题§§”,不能换行分散。 - 确保所有内容符合规则。 所以,结构应该是: 1. 回答用户的问题。 2. 然后,以“§§相关问题§§”开头,接着列出 3-5 个相关问题。 用户的问题是关于 Spring Boot 如何过滤存储型 XSS 攻击。 关键点: - **Spring Boot**:一个 Java 框架,用于简化 Spring 应用的开发。 - **存储型 XSS**:恶意脚本被存储到服务器(如数据库),然后在用户访问时执行。 - **过滤**:指的是防止或缓解 XSS 攻击的方法。 在 Spring Boot 中,过滤 XSS 攻击的常见方法包括: - 使用 **输入验证**(Input Validation)。 - 使用 **输出编码**(Output Encoding)。 - 使用 **安全库** 如 OWASP Java Encoder 或 Apache Commons Text。 - 使用 **框架特性** 如 Spring Security 的 CSRF 保护(但 CSRF 不是直接针对 XSS)。 - 具体针对 XSS,可以使用 **Content Security Policy (CSP)** 或 **X-XSS-Protection** 头。 - 在代码层面,使用过滤器(Filter)来清理输入。 一个常见的方法是创建一个 Servlet Filter 来过滤请求参数,去除或编码潜在的恶意脚本。 回答内容: - 解释什么是存储型 XSS。 - 描述在 Spring Boot 中如何实现过滤,例如使用 Filter。 - 提供代码示例(如果需要,类似于示例中的 Python 代码,但这里是 Java)。 示例格式中有一个代码块,所以我应该包括一个 Java 代码示例来展示如何实现一个 XSS 过滤器。 代码示例: - 创建一个类实现 `javax.servlet.Filter`。 - 在 `doFilter` 方法中,包装请求对象,覆盖 `getParameter` 等方法,对值进行清理。 - 使用库如 OWASP Java Encoder 或自定义逻辑来编码 HTML。 例如: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.io.IOException; import java.util.Collections; import java.util.Enumeration; import java.util.Map; import java.util.HashMap; public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {} @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response); } @Override public void destroy() {} private static class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { String value = super.getParameter(name); return cleanXSS(value); } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = cleanXSS(values[i]); } return encodedValues; } @Override public Map<String, String[]> getParameterMap() { Map<String, String[]> map = super.getParameterMap(); Map<String, String[]> newMap = new HashMap<>(); for (Map.Entry<String, String[]> entry : map.entrySet()) { String[] values = entry.getValue(); String[] newValues = new String[values.length]; for (int i = 0; i < values.length; i++) { newValues[i] = cleanXSS(values[i]); } newMap.put(entry.getKey(), newValues); } return Collections.unmodifiableMap(newMap); } private String cleanXSS(String value) { if (value == null) { return null; } // 简单的清理逻辑,实际中应使用库如 OWASP Java Encoder return value.replaceAll("<", "<").replaceAll(">", ">"); } } } ``` 然后,在 Spring Boot 中注册这个过滤器。 现在,回答结构: 1. 简要解释。 2. 提供代码示例。 3. 结束回答。 4. 然后,“§§相关问题§§”后跟相关问题。 相关问题:基于用户的问题和我的回答,提出 3-5 个相关问题。例如: 1. 如何在 Spring Boot 中配置 Content Security Policy 来防止 XSS? 2. Spring Security 如何帮助缓解 XSS 攻击? 3. 除了过滤器,还有哪些方法可以防止存储型 XSS? 4. OWASP Java Encoder 库的具体用法是什么? 5. 如何测试 Spring Boot 应用是否存在 XSS 漏洞? 确保相关问题是中文的。 完整输出: - 回答部分。 - 然后,“§§相关问题§§”(不能换行,直接输出)。 - 接着是问题列表,如“1. ...\n2. ...\n3. ...” 最后,确保所有内容符合规则。</think>### Spring Boot 过滤存储型 XSS 攻击 在 Spring Boot 中过滤存储型 XSS(跨站脚本攻击)主要通过输入清理和输出编码来实现,以防止恶意脚本被存储到数据库并在后续用户访问时执行。核心方法包括: - **使用 Servlet 过滤器(Filter)**:在请求处理前清理输入参数,去除或编码潜在恶意脚本(如 `<script>`)。 - **输出编码**:在渲染数据时(如 Thymeleaf 或 JSP 模板),使用库如 OWASP Java Encoder 对动态内容进行 HTML 编码。 - **安全配置**:结合 Spring Security 设置 HTTP 头(如 `X-XSS-Protection` 或 Content Security Policy)。 - **最佳实践**:始终验证用户输入,避免直接输出未编码的 HTML。 以下是一个简单的 Servlet 过滤器实现示例,用于清理请求参数中的 XSS 风险。该过滤器覆盖 `getParameter` 方法,使用基本替换逻辑(实际项目推荐使用 OWASP Java Encoder 库): ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.io.IOException; import java.util.*; public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) {} @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response); } @Override public void destroy() {} private static class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { String value = super.getParameter(name); return cleanXSS(value); } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values == null) return null; return Arrays.stream(values).map(this::cleanXSS).toArray(String[]::new); } private String cleanXSS(String value) { if (value == null) return null; // 简单替换关键字符,实际中应使用 OWASP Java Encoder return value.replaceAll("<", "<").replaceAll(">", ">"); } } } ``` 在 Spring Boot 中注册过滤器:创建配置类添加 `@Bean`: ```java import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<XSSFilter> xssFilter() { FilterRegistrationBean<XSSFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new XSSFilter()); registrationBean.addUrlPatterns("/*"); // 过滤所有URL return registrationBean; } } ``` **注意事项**: - 此示例仅作演示,生产环境应使用专业库(如 OWASP Java Encoder)进行更严格的编码。 - 结合 Spring Security 的 `ContentSecurityPolicy` 头增强防护。 - 测试时使用工具(如 OWASP ZAP)扫描漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值